Грани SIEM. Эволюция Security Capsule SIEM

На сегодняшний день Security Capsule SIEM обладает функциональными, архитектурными и потребительскими свойствами, соответствующими самым высоким требованиям по обеспечению необходимого уровня безопасности информации. В этой статье рассмотрим отдельные функции, возможности и способы применения этой системы. Особое внимание уделим уникальным функциональным возможностям Security Capsule SIEM и их соответствию не только требованиям регуляторов, но и практическим запросам заказчиков.

Авторы: А.А. Графов, С.А. Графов, В.И. Тимченко, А.А. Жорин, ООО “ИТБ”

Для кого?

Применение SIEM приводит к выявлению недопустимых событий и инцидентов, способствует предотвращению негативных последствий и, как следствие, сокращению издержек, связанных с информационной безопасностью. Security Capsule SIEM также позволяет выполнить требования законодательства Российской Федерации в области безопасности информации.

Security Capsule SIEM может применяться в составе государственных информационных систем (ГИС), ИСПДн, значимых объектов КИИ, автоматизированных систем управления технологическими процессами (АСУ ТП), систем обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Security Capsule SIEM имеет модульную архитектуру, что позволяет адаптировать архитектуру системы к инфраструктуре и потребностям заказчика. В состав Security Capsule SIEM входят несколько модулей.

1. Модуль сбора событий осуществляет сбор событий от источников данных (АРМ, сервер, коммуникационное оборудование, прикладное и общесистемное ПО, СЗИ от НСД).
2. Модуль нормализации осуществляет преобразование поступающих от источников данных из неоднородного формата в структурированный.
3. Модуль корреляции выполняет анализ событий в режиме реального времени или ретроспективно с целью выявления инцидентов.
4. Модуль хранения. Для хранения сырых и нормализованных событий, а также инцидентов применяется документно-ориентированная нереляционная СУБД MongoDB. Конфигурации и статистика хранятся в СУБД PostgreSQL.
5. Дополнительно лицензируемый модуль ГосСОПКА обеспечивает возможность полуавтоматической отправки уведомлений о зафиксированных на объекте информатизации компьютерных инцидентах по определенному НКЦКИ регламенту.

Security Capsule SIEM поставляется как в виде решения "всё в одном" для небольших инфраструктур, так и в виде модулей для развертывания в территориально распределенной инфраструктуре. Все компоненты могут быть установлены на одном или на нескольких Linux-серверах.

Возможность реализации распределенной архитектуры и развертывания в децентрализованной конфигурации является одной из основных особенностей архитектуры Security Capsule SIEM, которая позволяет эффективно обрабатывать большие объемы данных, а также обеспечивать высокую скорость реакции на угрозы.

Отдельно стоит отметить поддержку в SIEM Security Capsule режима мультитенантности (Multitenancy), которая дает возможность изолированно предоставлять услуги по мониторингу информационной безопасности для пользователей из разных организаций.

Опыт внедрения и эксплуатации

За более чем десятилетний опыт реализации проектов по построению подсистемы регистрации событий информационной безопасности на базе Security Capsule SIEM особую популярность получила реализация проектов под ключ. Если, приобретая систему, заказчик не имеет возможности привлечь собственные ресурсы для развертывания системы в сжатые сроки, то специалисты ООО "ИТБ" в тесной кооперации с ответственными специалистами на местах осуществляют работы по пусконаладке системы. Эти работы включают развертывание модулей, настройку сбора событий от источников, написание при необходимости правил нормализации и корреляции.

Так, например, в 2022 г. специалистами ООО "ИТБ" в максимально сжатые сроки были проведены работы по пусконаладке Security Capsule SIEM на уровне цифровизации одного из субъектов Российской Федерации, предполагающей комплексное развитие цифровой среды на основе единого цифрового "ядра" региона.

Как правило, развертывание Security Capsule SIEM на объекте информатизации заказчиков осуществляется в четыре этапа: обследование, определение источников событий, установка компонентов, настройка компонентов системы и источников событий ИБ.

Любая SIEM-система для своей работы требует выделения значительных объемов памяти и дискового пространства для хранения и обработки данных. Конечно же, это зависит от количества источников событий ИБ и/или количества событий ИБ (см. табл.).

Модель лицензирования

Security Capsule SIEM лицензируется по следующим критериям:

1. Модули. Количество устанавливаемых модулей зависит от архитектуры системы заказчика.
2. Источники данных. Источниками данных для Security Capsule SIEM являются компоненты инфотелекоммуникационной инфраструктуры заказчиков как отечественного, так и зарубежного производства, например автоматизированные рабочие места, серверы, коммуникационное оборудование, средства защиты информации от НСД, СКЗИ, антивирусные средства и т.д.
3. Необходимость поставки дополнительно лицензируемого модуля ГосСОПКА.

Важно, что лицензии на использование Security Capsule SIEM являются бессрочными.

В течение первого года использования системы обновления и техническая поддержка включены в стоимость приобретения. Затем условия осуществления технической поддержки и получения обновлений регламентируются лицензионной политикой.

Типовыми вариантами поставки являются:

1. Передача неисключительных прав на программные модули.
2. Поставка программно-аппаратного комплекса с предустановленными компонентами Security Capsule SIEM.

Планы и перспективы

Перспективы развития Security Capsule SIEM в большей степени определяются запросом государства и бизнеса. Не остаются без внимания и мировые тренды, одним из которых является автоматизация и машинное обучение, повышающее производительность и точность обнаружения инцидентов.

Располагая экспертизой, набором знаний и опыта, команда ООО "ИТБ" ставит перед собой задачи кратного увеличения занимаемой доли рынка среди систем класса SIEM. При этом мы не идем по пути подмены или замещения иных классов систем защиты информации функциональными возможностями Security Capsule SIEM. Данный подход позволяет нам предлагать заказчикам систему по привлекательной цене, с набором только тех функций, которые необходимы.

Одним из перспективных направлений является кастомизация Security Capsule SIEM под крупные проекты, в соответствии со спецификой запросов конкретного заказчика.

Импортозамещение и сертификаты

Система мониторинга и корреляции событий информационной безопасности Security Capsule SIEM – импортозамещающее решение, учитывающее потребности государства и бизнеса. Соответствует требованиям регуляторов ФСТЭК России, ФСБ России.

Security Capsule SIEM зарегистрирована в едином реестре российских программ для электронных вычислительных машин и баз данных Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.

Проведены испытания, подтверждающие совместимость Security Capsule SIEM с российскими операционными системами, состоящими в едином реестре российских программ, включая Astra Linux Special Edition, РЕД ОС, EMIAS OS 1.0 (разработка ООО "ИТБ"), ROSA Enterprise Linux Server, ОС Альт 8 СП. Информация о Security Capsule SIEM включена в маркетплейс российского ПО Минцифры.

Заключение

Последние события, связанные с прекращением деятельности в России крупных иностранных вендоров средств защиты информации, открывают перед отечественными производителями новые возможности. Меры государственной поддержки ИТ-отрасли как одной из приоритетных отраслей экономики в 2023 г. помогают разработчикам отечественного ПО адаптироваться в условиях санкций и ограничений.

Компания ООО "ИТБ" ставит перед собой в обозримом будущем основной задачей масштабирование бизнеса посредством привлечения дополнительных инвестиций.